CTO ของ Ledger Charles Guillemet เตือนเมื่อวันจันทร์ว่า มีการโจมตีห่วงโซ่อุปทานซอฟต์แวร์ขนาดใหญ่ที่กำลังเกิดขึ้นโดยมีเป้าหมายเป็นแพ็กเกจ NPM ที่ใช้ในระบบนิเวศ JavaScript ทั่วโลก
Ledger CTO เตือนการโจมตีซัพพลายเชน NPM ขนาดใหญ่; เร่งการตรวจสอบที่อยู่
เขียนโดย
แชร์
‘อาจจะทุกเชน’: CTO ของ Ledger เตือนหลังบัญชีนักพัฒนา NPM โดนแฮ็ก
Ledger‘s Guillemet กล่าว บน X ว่าบัญชี NPM ของนักพัฒนาที่เชื่อถือได้ถูกบุกรุกและแพ็กเกจที่ได้รับผลกระทบได้ถูกดาวน์โหลดไปแล้วกว่า 1 พันล้านครั้ง ทำให้เกิดความกังวลเกี่ยวกับการเปิดเผยข้อมูลของนักพัฒนา
“มีการโจมตีห่วงโซ่อุปทานขนาดใหญ่ที่กำลังดำเนินการอยู่… ระบบนิเวศ JavaScript ทั้งหมดอาจตกอยู่ในความเสี่ยง” เขา เขียนบน X พร้อมเสริมว่ารหัสอันตรายนี้ “สับเปลี่ยนที่อยู่คริปโตอย่างลับๆ เพื่อขโมยเงิน”
เขาแนะนำว่าผู้ที่ไม่ได้ใช้กระเป๋าเงินฮาร์ดแวร์ควรหลีกเลี่ยงการทำธุรกรรมบนเชนในขณะนี้ และเรียกร้องให้ผู้ใช้ทุกคนตรวจสอบรายละเอียดการทำธุรกิจก่อนเซ็นชื่อ เขากล่าวว่ายังคงไม่ชัดเจนว่าผู้โจมตีกำลังขโมย seed phrase จากซอฟต์แวร์วอลเล็ตรึเปล่า
“สำหรับผู้ใช้ Ledger หรือกระเป๋าเงินฮาร์ดแวร์อื่นๆ ที่มีการเซ็นชื่อที่ชัดเจน คุณไม่ตกอยู่ในความเสี่ยง” Guillemet กล่าวเสริม โดยเน้นย้ำว่าการเซ็นชื่อที่ชัดเจนและการตรวจสอบด้วยตนเองช่วยปกป้องจากมัลแวร์ที่สลับที่อยู่
แหล่งข่าว ความปลอดภัยอิสระ รายงานการ บุกรุกบัญชี NPM ที่เกิดขึ้นซึ่งมีผลต่อแพ็กเกจที่ใช้กันอย่างแพร่หลาย โดยบางคนอธิบายว่าแคมเปญนี้เป็นหนึ่งในแคมเปญที่ใหญ่ที่สุดในประเภทของมันในปัจจุบัน Guillemet กล่าวว่าอาจมีผลกระทบ “อาจจะทุกเชน”
